Some recommendation about password from NIST SP 800-63B

 Harvard က ပေးတဲ့ သင်ခန်းစာ တခုကြည့်ရင်း သင်ခန်းစာထဲက ညွှန်းတဲ့  


NIST Special Publication 800-63B ကို ဖတ်ကြည့်တော့ အဲ့ထဲက Digital Identity Guidelines: Authentication and Lifecycle Management မှာ အောက်က Recommendation နှစ်ခုပါတယ်။

Memorized secret verifiers SHALL NOT permit the subscriber to store a "hint" that is accessible to an unauthenticated claimant. 
Verifiers SHALL NOT prompt subscribers to use specific types of information (e.g., "What was the name of your first pet?") when choosing memorized secrets.

ခုလက်ရှိထိ Company တော်တော်များများ က သူတို့ရဲ့  Website, Application တွေမှာ အပေါ် က ၂ ခု ကို မလိုက်နာကြသေးဘူး။ 
Social Media, AI ခေတ်မှာ မင်း ရဲ့ ပထမဆုံး Pet က ဘာလဲ၊ မင်း ပထမဆုံး စီးခဲ့တဲ့ ကားက ဘာ မော်ဒယ်လဲ ဆိုတာတွေက  သိဖို့မှ မခက်တော့တာနော်။ 
ကိုယ်မဟုတ်တဲ့ တခြားသူက ကိုယ့်ရဲ့ Password ကို recovery ပြန် ယူဖို့ လွယ်သွားတာပေါ့။ 

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).

ခုအချိန်ထိ Corporate တွေ ရဲ့  Information Security Policy တွေ ထဲက Password Policy တွေမှာ Password ကို ရက် (၃၀)/ရက် (၄၅)/ ရက် (၉၀) တိုင်း ပြောင်းခိုင်းနေတာကြီးက အမြဲတွေ့ နေကြပါ။
Account Password တခု compromise ဖြစ် သွားတဲ့အချိန် (သို့မဟုတ်) လက်ရှိသုံးနေတဲ့ Account Password တခုခုကို Breach ဖြစ်သွားတဲ့နေရာက နေ Threat Intel က သိတဲ့အချိန်မျိုးမှ သာ Password ကို ပြောင်းခိုင်းသင့်ပါတယ်တဲ့။
နောက်ဆို Password Policy ကို Review လုပ်ပေးပါ ပြောရင် ဒါကြီး ကိုင်ပြီး ပြန်ငြင်းကပေါ့ ။ 

အဲ့ဒါကြောင့် ပြောတာ သိပ္ပံပညာရပ်က အမြဲ မမှန်ဘူး။ အရင်က တွေ့ ခဲ့တဲ့ သီအိုရီ က အခု ကျ မှားရင် မှားနေ တတ်တာမျိုးလေ။ 

သူငယ်ချင်းတို့ စာတွေ အရမ်းလုပ်မနေကြနဲ့ တော့ ...
ခုလို အဘိဓမ္မာအခါတော် နေ့ မှာ အမြဲမှန်တဲ့ အဝိဇ္ဇာ။ တဏှာ၊ နာမ် နဲ့ ရုပ်၊ သစ္စာလေးပါး တရားတွေ တာ သိအောင် အားထုတ်ကြတော့။ 😁

ပျော်ရွှင်ပါစေဗျာ။
(Be knowledgeable, pass it on then)

No comments :

Post a Comment